ONTAP 9 .6以降でオンボードキー管理を有効にする(NVE)
変更を提案
PDF
オンボードキーマネージャを使用して、暗号化されたデータにアクセスするためにクラスタで使用するキーを安全に保管できます。オンボードキーマネージャは、暗号化されたボリュームまたは自己暗号化ディスクにアクセスする各クラスタで有効にする必要があります。
このコマンドは、クラスタにノードを追加するたびに実行する必要があり `security key-manager onboard sync`ます。
MetroCluster構成の場合は、同じパスフレーズを使用して最初にローカルクラスタでコマンドを実行してから、リモートクラスタでコマンドを実行する security key-manager onboard sync`必要があります `security key-manager onboard enable。ローカルクラスタからコマンドを実行したあとにリモートクラスタで同期する場合、 security key-manager onboard enable`リモートクラスタからコマンドを再度実行する必要はありません `enable。
デフォルトでは、ノードのリブート時にキー管理ツールのパスフレーズを入力する必要はありません。オプションを使用すると、リブート後にユーザにパスフレーズの入力を求めることができます cc-mode-enabled=yes。
NVEでは、を設定する cc-mode-enabled=yes`と、コマンドと `volume move start`コマンドで作成したボリューム `volume create`が自動的に暗号化されます。で `volume create`は、を指定する必要はありません `-encrypt true。で volume move start`は、を指定する必要はありません `-encrypt-destination true。
保存データの暗号化ONTAPを設定する際に、Commercial Solutions for Classified(CSfC)の要件を満たすためには、NVEとともにNSEを使用し、オンボードキーマネージャをCCモードで有効にする必要があります。CSfCの詳細については、を参照して"CSfC 解決策 Brief ( CSfC の概要"ください。
|
オンボードキーマネージャがCCモードで有効になっ(`cc-mode-enabled=yes`ている場合)、システムの動作が次のように変更されます。
|
|
|
オンボードキーマネージャは、キーを揮発性メモリに格納します。揮発性メモリの内容は、システムを再起動または停止するとクリアされます。通常の動作状態では、システムが停止すると、揮発性メモリの内容は30秒以内に消去されます。 |
-
このタスクを実行するには、クラスタ管理者である必要があります。
-
オンボードキーマネージャを設定する前に、MetroCluster環境を設定する必要があります。
-
キー管理ツールのセットアップを開始します。
security key-manager onboard enable -cc-mode-enabled yes|no
リブート後にユーザにキー管理ツールのパスフレーズの入力を求めるように設定し `cc-mode-enabled=yes`ます。NVEでは、を設定する `cc-mode-enabled=yes`と、コマンドと `volume move start`コマンドで作成したボリューム `volume create`が自動的に暗号化されます。この `- cc-mode-enabled`オプションはMetroCluster構成ではサポートされません。 `security key-manager onboard enable`コマンドは、コマンドに置き換わるもの `security key-manager setup`です。
次の例は、リブートのたびにパスフレーズの入力を要求せずに、cluster1でkey manager setupコマンドを開始します。
cluster1::> security key-manager onboard enable Enter the cluster-wide passphrase for onboard key management in Vserver "cluster1":: <32..256 ASCII characters long text> Reenter the cluster-wide passphrase: <32..256 ASCII characters long text>
-
パスフレーズのプロンプトで 32 ~ 256 文字のパスフレーズを入力します。または、 64 ~ 256 文字のパスフレーズを「 cc-mode] 」に入力します。
指定された "cc-mode" パスフレーズが 64 文字未満の場合、キー管理ツールのセットアップ操作によってパスフレーズのプロンプトが再表示されるまでに 5 秒の遅延が発生します。
-
パスフレーズの確認のプロンプトでパスフレーズをもう一度入力します。
-
認証キーが作成されたことを確認します。
security key-manager key query -key-type NSE-AK
`security key-manager key query`コマンドは、コマンドに置き換わるもの `security key-manager query key`です。コマンド構文全体については、マニュアルページを参照してください。
次の例では、の認証キーが作成されたことを確認し `cluster1`ます。
cluster1::> security key-manager key query -key-type NSE-AK Node: node1 Vserver: cluster1 Key Manager: onboard Key Manager Type: OKM Key Manager Policy: - Key Tag Key Type Encryption Restored ------------------------------------ -------- ------------ -------- node1 NSE-AK AES-256 true Key ID: 00000000000000000200000000000100056178fc6ace6d91472df8a9286daacc0000000000000000 node1 NSE-AK AES-256 true Key ID: 00000000000000000200000000000100df1689a148fdfbf9c2b198ef974d0baa0000000000000000 2 entries were displayed. -
必要に応じて、プレーンテキストボリュームを暗号化ボリュームに変換します。
volume encryption conversion startボリュームを変換する前に、オンボードキーマネージャの設定が完了している必要があります。MetroCluster環境では、両方のサイトでオンボードキーマネージャを設定する必要があります。
あとで使用できるように、ストレージシステムの外部の安全な場所にパスフレーズをコピーします。
オンボードキーマネージャのパスフレーズを設定する場合は、災害時に備えて、ストレージシステムの外部の安全な場所に情報を手動でバックアップする必要があります。を参照して "オンボードキー管理情報の手動でのバックアップ"